Wer schützt verlässlich meine sensiblen Daten?
Hackerangriffe nehmen jedes Jahr zu, die DACH-Region und dabei nochmals speziell Österreich waren zuletzt besonders stark betroffen: So stieg die Zahl der Cyber-Attacken auf heimische Unternehmen im dritten Quartal 2024 um alarmierende 127 Prozent im Vergleich zum Vorjahresquartal an. Unternehmen stellen sich daher zurecht die dringende Frage, wie sie ihre Daten, darunter besonders ihre kritischen personenbezogenen Daten, schützen sollen. Für professionellen Datenschutz und auch aus Kostengründen überlegen immer mehr Firmen, auf Cloudlösungen umzusteigen, wo sie ihre Daten von Service-Anbietern speichern und teilweise auch verarbeiten lassen; das betrifft KMU, genauso wie Konzerne. Sie sind auf der Suche nach Profis, weil sie selbst nicht genügend Spezialwissen für IT-Security aufbauen und auf dem neuesten Stand halten können. Doch bei der Auswahl des geeigneten Partners stehen diese Unternehmen vor einem Problem: Wie sollen sie kontrollieren oder prüfen, ob ihr Anbieter das erforderliche Wissen über IT-Security hat und ob er geeignete Sicherheitsvorkehrungen getroffen hat?
SOC 2: Zertifizierte Datensicherheit
Diese Kontrolle bzw. Prüfung ermöglicht SOC 2, das ist die Abkürzung für Systems and Organization Controls. Es bezeichnet ein standardisiertes Kontrollverfahren inklusive Reporting, in dem bewertet wird, wie ein Unternehmen mit Daten umgeht. Dieser internationale Standard wurde von der anerkannten Auditierungsstelle AICPA (American Institute of Certified Public Accountants) entwickelt. Die AICPA hat mehrere Standards entwickelt, wobei SOC 2 für die Zertifizierung von Cloud-Anbietern eingesetzt wird. Die Prüfung wird von externen Auditoren durchgeführt.
SOC 2 Typ 2: Längerer Bewertungszeitraum
Unterschieden wird dabei zwischen SOC 2 Typ 1 und SOC 2 Typ 2 Zertifizierung und der Unterschied liegt im Zeitrahmen: SOC 2 Typ 2 bedeutet insofern mehr Sicherheit, weil nicht eine Momentaufnahme bewertet wird, sondern die Wirksamkeit der Maßnahmen im operativen Betrieb nachgewiesen werden muss, in der Regel ist das ein Zeitraum von mindestens sechs Monaten. Die Zertifizierung nach SOC 2 Typ 2 ist also ein durchaus aufwendiger Prozess: Damit beweisen Service-Anbieter ihren Unternehmenskunden, dass Datensicherheit für sie ein zentraler Wert ist und sie ihre Services auch laufend überwachen und ggf. aktualisieren.
Bis zu 5 Vertrauensgrundsätze
Die SOC 2 Zertifizierung umfasst fünf Punkte zur Überprüfung, wie Cloud-Anbieter und SaaS-Anbieter (Software-as-a-Service) mit den Daten ihrer Kunden umgehen. Mit der Zertifizierung belegen diese Anbieter, dass sie die Einhaltung einiger oder aller fünf „Trust Service Criteria“ bzw. Vertrauensgrundsätze nachweislich erfüllen. Datensicherheit ist dabei ein obligatorischer Punkt, die anderen Punkte hängen vom jeweiligen Business ab:
- Datensicherheit: Informationen sind gegen unbefugten Zugriff und unbefugte Offenlegung geschützt. Enthalten ist auch der Schutz vor Systemschäden, um die Verfügbarkeit und Integrität der Daten sicherzustellen. Das ist die grundlegende Kategorie.
- Verfügbarkeit: Damit Daten jederzeit für Berechtigte zugänglich sind, gibt es Maßnahmen für die Aufrechterhaltung des Betriebs der Systeme. Das ist besonders bei geschäftskritischen Anwendungen wichtig, wo Systemausfälle kritische Folgen haben oder hohe Kosten verursachen können.
- Verarbeitungsintegrität: Die Verarbeitung muss vollständig, gültig, präzise, rechtzeitig und autorisiert sein. Das betrifft zumeist Kunden im E-Commerce oder Finanzbereich.
- Vertraulichkeit: Als vertraulich gekennzeichnete Informationen müssen gesetzeskonform und übereinstimmend mit den Unternehmensrichtlinien geschützt werden können, von der Erfassung bis zur Löschung. Das betrifft etwa geistiges Eigentum.
- Datenschutz: Personenbezogenen Daten müssen datenschutzkonform gesammelt, verwendet, aufbewahrt, offengelegt oder gelöscht werden können. Das betrifft zum Beispiel HR-Daten.
Vorteile der SOC 2 Typ 2 Zertifizierung von Sage DPW
Gerade im Personalbereich ist Datenschutz ein zentrales Anliegen und auch eine gesetzliche Pflicht. Unternehmen sollten daher bei der Auswahl ihres HR-Softwarepartners besondere Aufmerksamkeit auf Datensicherheit legen. Die Zertifizierung SOC 2 Typ 2 von Sage DPW bedeutet für Sie als Unternehmen bzw. Sage-Kunde:
- Durch externe standardisierte Audits ist nachgewiesen, dass die Systeme und Prozesse von Sage DPW den höchsten Sicherheitsstandards entsprechen. Dazu gehören zahlreiche Maßnahmen, u.a. die MFA – Multi-Faktor-Authentifizierung bei der Anmeldung ins System.
- SOC 2 ist speziell auf Anbieter von Cloud-Services zugeschnitten. Damit können Sie ohne Sicherheitsbedenken auf eine moderne Cloud-Lösung setzen und diese bringt Ihnen gesetzeskonforme Datenablage, reibungslosen Betrieb, Wartung und IT-Security durch Profis.
- Die Wirksamkeit der Maßnahmen wurde über mehr als ein halbes Jahr im operativen Betrieb nachgewiesen, das besagt die zusätzliche Kategorisierung des Zertifikats nach Typ 2. Kontinuität und ständige Wachsamkeit sind entscheidend, angesichts der sich laufend ändernden Cyberbedrohungen.
- Sie vermindern Ihre unternehmerischen Risiken und erfüllen gesetzliche Compliance-Anforderungen.
- Sie können sich darauf verlassen, dass ihre sensiblen personenbezogenen Personaldaten mit geeigneten Datenschutzmaßnahmen und laufenden Kontrollen bei Sage DPW in guten Händen sind.